當前的數字證書管理系統中缺陷使得欺詐證書導致安全問題和隱私洩露風險變得日益明顯。針對這一問題， 證書透明度CT 應運而生。作為證書生態系統的輔助工具，CT要求CA公開其頒發的每一個數字證書到證書日誌中，並對其監控、審計，以確保證書透明度機制正確有效執行，從而緩解證書錯誤頒發，減少安全問題以及隱私洩露的發生。

什麼是證書透明度 CT？

Certificate Transparency簡稱CT，中文名：證書透明度，是用於記錄和監視SSL證書頒發的系統，其目的是為了監控CA或其他惡意人員偽造伺服器證書。由於各大CA受所有瀏覽器信任，它們中的任意一個證書頒發機構都有權為您的域名頒發證書，如果這些證書是惡意的，您的瀏覽器同樣會無條件信任它。

賽門鐵克曾在 Google不知情下為Google的域名頒發了有效期為一天的預簽證書，CA權利被濫用或者是錯誤地被用於釋出偽造的數字證書會將使用者的隱私處於危險之中。因此， CT為SSL證書信任提供了額外的安全保障，讓客戶端不只是簡單的信任CA，而是讓使用者或企業可以隨時透過CT查詢和監控誰為自己的域名簽發了SSL證書，從而確保證書的合法性。

（證書日誌上未被記錄的證書提示）

證書透明度 CT如何工作？

證書透明度機制透過以下三個元件來工作的：

1. CT Logs證書日誌伺服器 儲存所有證書的簽發記錄，任何人都可以查詢或者驗證頒發的數字證書是否已經被合理地記錄在了日誌之中。證書日誌中包括已過期、尚未生效、已被吊銷或在其他方面並非完全有效的證書。任何人均可將證書新增到日誌中，但一般都是CA機構新增證書日誌。證書日誌只能新增，不能修改或刪除。

2. Monitors監視器 定期監視日誌伺服器中是否存在異常行為和可疑證書，如發現有冒充者偽造證書，即可快速與 CA機構聯絡，撤銷非法證書。

3. Auditors審計 用於驗證證書日誌的完整性，可定期檢查證書日誌以確保其正常執行，如果日誌無法正常執行，則可能將其關閉。

以上三個元件協同運作，以確保證書透明度機制正確有效執行。

（證書透明度工作執行機制圖）

CT Logs證書日誌有什麼好處？

1. 早期檢測 。使用 SSL證書籤發日誌查詢能夠幫您在幾小時內查詢未經授權的證書，而不需要花幾天或幾周的時間。域名所有者還可以據此查詢未經批准頒發的任何證書，從而避免人為錯誤或假冒行為導致誤發證書。

2. 安全性更強 。

由於CT 日誌只能新增證書記錄，不能修改或刪除舊記錄，這有助於防止篡改問題。
任何域名所有者都可以在日誌查詢中驗證證書是由受信任的CA頒發還是惡意頒發的，防止使用者受到任何欺詐證書欺騙。
除了域名所有者外，任何感興趣的相關人員都能檢視這些證書，這能促使證書頒發機構在頒發證書時更加負責，加強信任鏈。
使用者瀏覽的網站證書若沒有被記錄到 CT日誌中，瀏覽器便不會顯示安全連結和展示安全鎖圖示，這也使使用者的線上瀏覽更加安全。

3. 查詢證書有效期 。使用 SSL證書籤發日誌查詢可以識別、監控哪些證書即將過期或者需要撤銷，使企業能夠及時快速地與CA或服務商聯絡，避免因證書過期帶來不必要的損失。

4. 查詢證書和頒發者資訊 。除了查詢證書有效期外，您可以在 CT 日誌中檢視域名證書頒發者、子域名覆蓋範圍、所有先前證書的歷史記錄以及其他重要詳細資訊。

如何查詢 CT logs證書日誌？

銳成資訊免費提供CT日誌查詢工具，給使用者一個查詢某個給定域名頒發的所有數字證書的途徑。方法如下：

1. 開啟 銳成資訊 官網，滑鼠導航至 SSL證書 ，在右側的SSL工具欄中找到點選 SSL證書籤發日誌查詢 。

（ SSL證書籤發日誌查詢位置）

2. 輸入域名或 企業名稱 ，即可查詢該域名或企業下所有簽發的SSL證書日誌。

（輸入域名查詢 SSL證書籤發日誌）

結論

證書透明度 CT 是安全行業的重大改進，對記錄、監測、稽核SSL數字證書有著重要意義。信譽良好的CA會確保每一個證書都新增記錄在CT logs日誌中，銳成資訊專注於數字證書領域數十年，始終遵循最高標準來驗證身份和頒發高可信度的數字證書，提供 Digicert、Sectigo、Geotrust、銳安信sslTrus等業內權威CA證書，這些證書都經過 CT驗證並儲存在CT日誌的記錄中，保護您的網站免遭SSL證書的錯誤頒發和濫用。

本文轉載於https://www.racent.com/blog/certificate-transparency-and-ct-logs

什麼是證書透明度CT？如何查詢CT logs證書日誌？